Acesso a serviços privados
Esta página oferece uma vista geral do acesso a serviços privados.
A Google e terceiros (conhecidos em conjunto como produtores de serviços) podem oferecer serviços alojados numa rede VPC. O acesso a serviços privados permite-lhe alcançar esses serviços através da criação de uma ligação privada entre a sua rede VPC e a rede VPC do produtor de serviços. O tráfego de acesso aos serviços privados viaja internamente na rede da Google e não através da Internet pública. Para mais informações sobre a utilização do acesso a serviços privados, consulte o artigo Configure o acesso a serviços privados.
O acesso a serviços privados requer que primeiro atribua um intervalo de endereços IPv4 internos e, em seguida, crie uma ligação privada. Um intervalo alocado é um bloco CIDR reservado que não pode ser usado na sua rede VPC local. Está reservado apenas para produtores de serviços e impede a sobreposição entre a sua rede VPC e a rede VPC do produtor de serviços.
A ligação privada associa a sua rede VPC à rede VPC do produtor do serviço. Esta ligação permite que as instâncias de VM na sua rede VPC usem endereços IPv4 internos para alcançar os endereços IPv4 internos dos recursos de serviço. As suas instâncias podem ter endereços IP externos, mas os endereços IP externos não são necessários nem usados pelo acesso privado aos serviços.
Se um produtor de serviços oferecer vários serviços, só precisa de uma ligação privada. Quando cria uma ligação privada, usa a API Service Networking para a criar. No entanto, Google Cloud implementa esta ligação como uma ligação de intercâmbio da rede da VPC entre a sua rede da VPC e a rede da VPC do produtor do serviço. A sua rede da VPC mostra a ligação privada como uma ligação de intercâmbio da rede da VPC.
A utilização de intervalos de endereços IPv6 com acesso a serviços privados não é suportada.
Só pode usar o acesso a serviços privados com serviços que o suportem. Consulte o produtor do serviço antes de criar uma ligação privada.
Rede do produtor de serviço
Do lado do produtor de serviços da ligação privada, encontra-se uma rede VPC, onde os recursos do seu serviço são aprovisionados. A rede do produtor do serviço é criada exclusivamente para si e contém apenas os seus recursos.
Um recurso na rede do produtor de serviços é semelhante a outros recursos na sua rede VPC. Por exemplo, é acessível através de endereços IP internos por outros recursos na sua rede VPC. Também pode criar regras de firewall na sua rede VPC para controlar o acesso à rede do produtor do serviço.
Para ver detalhes sobre o lado do produtor de serviços, consulte o artigo Ative o acesso a serviços privados na documentação da infraestrutura de serviços. Esta documentação destina-se apenas à sua informação e não é necessária para ativar nem usar o acesso privado aos serviços.
Acesso a serviços privados e conetividade no local
Em cenários de rede híbrida, uma rede no local está ligada a uma rede VPC através de uma ligação Cloud VPN ou Cloud Interconnect. Por predefinição, os anfitriões no local não conseguem aceder à rede do produtor de serviços através do acesso privado aos serviços.
Na rede VPC, pode ter rotas estáticas ou dinâmicas personalizadas para direcionar corretamente o tráfego para a sua rede no local. No entanto, a rede do produtor de serviços não contém essas mesmas rotas. Quando cria uma ligação privada, a rede VPC e a rede do produtor de serviços trocam apenas rotas de sub-rede.
A rede do produtor de serviços contém uma rota predefinida (0.0.0.0/0) que
vai para a Internet. Se exportar uma rota predefinida para a rede do produtor do serviço, esta é ignorada porque a rota predefinida da rede do produtor do serviço tem precedência. Em alternativa, defina e exporte um trajeto personalizado com um destino mais específico. Para mais informações, consulte o artigo Ordem
do trajeto.
Tem de exportar os encaminhamentos personalizados da rede VPC para que a rede do fornecedor de serviços os possa importar e encaminhar corretamente o tráfego para a sua rede no local. Atualize a configuração do intercâmbio da VPC associada à ligação privada para exportar rotas personalizadas.
Transitividade de serviços com o Network Connectivity Center
Para alguns serviços que estão disponíveis através do acesso a serviços privados, pode usar o Network Connectivity Center para tornar o serviço acessível a outros raios num hub através da criação de um raio de VPC do produtor. Para mais informações, incluindo os serviços suportados, consulte o artigo Producer VPC spokes.
Considerações
Antes de configurar o acesso a serviços privados, compreenda as considerações para escolher uma rede VPC e um intervalo de endereços IP.
Serviços suportados
Os seguintes serviços Google suportam o acesso a serviços privados:
- AI Platform Training
- AlloyDB para PostgreSQL
- Apigee
- Cópia de segurança e RD
- Cloud Build
- Sistema de deteção de intrusos do Cloud
- Cloud SQL (não suporta interligação de DNS)
- Cloud TPU
- Faça convergir a nuvem empresarial com o IBM Power para Google Cloud
- Filestore
- Google Cloud Managed Lustre
- Google Cloud VMware Engine
- Looker (Google Cloud core)
- Memorystore for Memcached
- Memorystore para Redis
- Vertex AI
Exemplo
No exemplo seguinte, a rede VPC do cliente atribuiu o intervalo de endereços para os serviços Google e estabeleceu uma ligação privada que usa o intervalo atribuído.10.240.0.0/16 Cada serviço Google cria uma sub-rede a partir do bloco atribuído para aprovisionar novos recursos numa determinada região, como instâncias do Cloud SQL.
- À ligação privada é atribuído o intervalo alocado
10.240.0.0/16. A partir desta atribuição, os serviços Google podem criar sub-redes onde são aprovisionados novos recursos. - No lado dos serviços Google da ligação privada, a Google cria um projeto para o cliente. O projeto está isolado, o que significa que nenhum outro cliente o partilha, e o cliente só é faturado pelos recursos que aprovisiona. A Google também cria uma rede VPC neste projeto isolado e liga-a à rede do cliente através do intercâmbio de redes VPC.
- Cada serviço Google cria uma sub-rede na qual aprovisionar recursos. O intervalo de endereços IP da sub-rede é um bloco CIDR proveniente do intervalo de endereços IP atribuído. O bloco CIDR é escolhido pelo serviço e, normalmente, tem um intervalo de endereços IP de
/29a/24. Não pode modificar a sub-rede do produtor do serviço. Um serviço aprovisiona novos recursos em sub-redes regionais existentes que foram criadas anteriormente por esse serviço. Se uma sub-rede estiver cheia, o serviço cria uma nova sub-rede na mesma região. - Depois de criar a sub-rede, a rede do cliente importa rotas da rede de serviços.
- As instâncias de VM na rede do cliente podem aceder aos recursos de serviço em qualquer região se o serviço o suportar. Alguns serviços podem não suportar a comunicação entre regiões. Consulte a documentação do serviço relevante para mais informações.
- À instância do Cloud SQL é atribuído o endereço IP
10.240.0.2. Na rede VPC do cliente, os pedidos com um destino de10.240.0.2são encaminhados para a ligação privada para a rede do produtor de serviços. Depois de chegar à rede de serviços, esta contém rotas que direcionam o pedido para o recurso correto. - O tráfego entre redes VPC desloca-se internamente na rede da Google e não através da Internet pública.
Preços
Para ver os preços do acesso a serviços privados, consulte a secção Acesso a serviços privados na página de preços da VPC.
O que se segue?
- Para atribuir intervalos de endereços IP, criar ligações privadas ou partilhar zonas DNS privadas, consulte o artigo Configurar o acesso a serviços privados.